web28
这道题目和前面的一道题是一样的,考点是X-Forwarded-For,用于IP伪造
X-Forwarded-For,是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,
它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。
如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,
并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。
所以使用bp抓包并改包,得到flag,因为说是从本地访问,说以地址是127.0.0.1
注:萌新第一次写write up,不足之处还请见谅,不对之处欢迎批评指正